Jak nakládáte s tajemstvími v CI/CD pipeline?

Question

Accepted Answer

CI/CD pipeline potřebují **tajemství** (API klíče, přihlašovací údaje pro nasazení, hesla do databází, tokeny) k vytvoření a nasazení — ale jejich nezabezpečené nakládání je vážné riziko. Správná **správa tajemství** udržuje přihlašovací údaje bezpečné v celém pipeline.

## Problém: tajemství se nesmí nikdy odhalit

```text
Pipelines need credentials, but secrets are a major security risk if mishandled:
  ⚠️ NEVER hardcode secrets in code, pipeline config files, or commit them to Git
     (committed secrets are exposed in history — even if "removed" later)
  ⚠️ NEVER print secrets in logs (pipeline logs may be visible/stored)
→ Leaked CI/CD secrets (deploy keys, cloud credentials) can compromise entire systems.
```

## Správné nakládání s tajemstvími

```text
✓ Use the CI/CD platform's SECRETS STORE — encrypted secrets injected as env vars at
  runtime (GitHub Actions Secrets, GitLab CI variables, etc.) — NOT in the config file
✓ Use dedicated SECRETS MANAGERS — HashiCorp Vault, AWS Secrets Manager, etc.
  (fetch secrets at runtime; centralized, audited, rotatable)
✓ Reference secrets by NAME in the pipeline; the platform injects the value securely:
```

```yaml
# GitHub Actions: reference a secret (stored encrypted in the repo settings)
steps:
  - run: ./deploy.sh
    env:
      API_KEY: ${{ secrets.API_KEY }}   # injected securely, not hardcoded, masked in logs
```

## Osvědčené postupy

```text
✓ LEAST PRIVILEGE — pipeline credentials should have only the permissions needed
✓ Prefer short-lived/temporary credentials (e.g. OIDC to assume a cloud role — no
  long-lived keys stored at all)
✓ ROTATE secrets regularly; rotate IMMEDIATELY if leaked
✓ Mask secrets in logs (platforms do this for stored secrets); audit secret access
✓ Separate secrets per environment (dev/staging/prod)
```

## Proč je to důležité

Rozmíšení si, jak nakládat s tajemstvími v CI/CD pipeline, je důležité, protože **správa tajemství je kritická bezpečnostní záležitost** a pipeline pracují s mocnými přihlašovacími údaji, které mohou, pokud se uniknou, kompromitovat celé systémy, takže je to podstatné bezpečnostní vědomí.

Pipeline potřebují tajemství (API klíče, přihlašovací údaje pro nasazení, hesla do databází) k vytvoření a nasazení, ale jejich špatné nakládání je **vážné, časté bezpečnostní riziko**.

Rozmíšení si základních pravidel — **nikdy nekódovat tajemství do kódu nebo konfigurace pipeline, nikdy je necommitovat do Gitu** (kde jsou vystavena v historii, i když jsou později "odstraněna"), a **nikdy je nevypisovat do logů** — je podstatné, protože tyto chyby způsobují skutečné, poškozující úniky přihlašovacích údajů (uniknuté klíče pro nasazení nebo přihlašovací údaje do cloudu mohou kompromitovat celé systémy).

Rozmíšení si **správného nakládání s tajemstvími** — použití **šifrovaného úložiště tajemství** platformy CI/CD (vsunutí tajemství jako proměnných prostředí za běhu místo jejich ukládání v konfiguraci), použití dedikovaných **správců tajemství** (Vault, AWS Secrets Manager pro centralizované, auditované, rotovatelné tajemství) a odkazování na tajemství podle názvu, aby platforma bezpečně vsunutí hodnoty (a maskovala je v logech) — je nezbytné praktické vědomí pro udržení přihlašovacích údajů v bezpečí.

Rozmíšení si **osvědčených postupů** — **nejmenší oprávnění** (přihlašovací údaje pipeline mají jen potřebná oprávnění, omezení rozsahu poškození), preferování **krátkodobých/dočasných přihlašovacích údajů** (jako OIDC k převzetí rolí cloudu, vyhýbání se uchovávání dlouhodobých klíčů úplně — moderní osvědčený postup), **rotace** tajemství pravidelně a okamžitě pokud jsou uniknutí a rozdělení tajemství na prostředí — odráží zralé, bezpečné postupy pipeline.

Protože CI/CD pipeline pracují s mocnými přihlašovacími údaji, jejichž uniknutí může kompromitovat systémy, a protože správná správa tajemství (nikdy nekódovat/necommitovat/nevypisovat tajemství, používat úložiště/správce tajemství, nejmenší oprávnění a krátkodobé přihlašovací údaje) je podstatná k prevenci vážných porušení, je porozumění nakládání s tajemstvími v CI/CD důležité, bezpečnostně kritické vědomí pro vytváření bezpečných pipeline — vysokoriziková oblast, kde správné postupy prevost úniky přihlašovacích údajů, které jsou skutečné, poškozující riziko v automatizovaném doručování.